業務上の「PPAP」が見直されています

© 株式会社ドクタートラスト

最近は、行政部門において「押印原則」が見直され、業務のあり方に変革をもたらしています。
その流れの一巻なのでしょうか、平井卓也デジタル改革担当大臣が、中央省庁の職員が文書データの送信で使用する「パスワード付きzipファイル」を廃止する方針を明らかにしました。
この「パスワード付きzipファイル」は「PPAP」も言われており、皆さんもお仕事で接したことがあると思います。

PPAP ってなに?

パスワード付きzipファイル」を意味する「PPAP」は、少し前に一世を風靡したあのネタと同じ語感ですが、具体的には以下の頭文字をそれぞれとっています。

P:Passwordつきzip暗号化ファイルを送ります
P:Passwordを送ります
A:An号化(暗号化)
P:Protocol
※ Protocol(プロトコル) は IT の世界において「手順」などの意味になります。

PPAPの手法は、セキュリティリスク対策として採用されているケースが非常に多いものの、送信側にも受診側にも無駄な作業コストが発生する割に、リスク対策として効果的とはいえません。
ただ、パスワード付きzip暗号化ファイル自体は有用です。
ファイルを送った直後にパスワードをメールで送るのではなく、それぞれ別の経路で共有が望ましいのです。

PPAPが使われ続けた理由、PPAPの今後は?

なぜリスク対策として効果的ではない、PPAPが使われ続けているのでしょうか。
それは「パスワード付zipファイルでの添付ファイル送信がPマーク認証などの審査に通ってしまう」が大きいと思います。
現在では、個人情報を取得している企業はほぼPマークの取得が必須であり、また、取引先が保有していることを必須としている企業もあります。
PマークにおけるPPAPについては、平井卓也デジタル改革担当大臣の発言を受けてか、Pマークの認証団体「一般財団法人日本情報経済社会推進協会(JIPDEC)」から以下のアナウンスがありました。

昨今、個人情報を含むファイル等をメールで送信する際に、ファイルをパスワード設定により暗号化して添付し、そのパスワードを別メールで送信することについて、お問合せを多くいただいております。
プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。
出所:一般財団法人日本情報経済社会推進協会「メール添付のファイル送信について」

働く皆さんには日々の業務に直結する内容ですので、今後の経過を注視していきたいですね。

脱!PPAP!

PPAPを代替する方法としては、クラウドサービスを利用する形式が考えられます。
移行や運用で多少の手間は発生するかも知れませんが、セキュリティ対策としてはPPAPより有為です。
パスワード付きzip暗号化ファイルをクラウドで共有しておけば、仮に漏洩した場合も中身の閲覧はできません。
パスワードのお知らせはメールではなく、利用者が特定出来るチャットツールなどが良いでしょう。